LinkedIn. Lynda
Zistilo sa, že vzdialene zneužiteľná zraniteľnosť, ktorá v roku 2014 ovplyvnila 600 miliónov používateľov aplikácie WhatsApp a od tej doby ešte viac zapnutá a zapríčinila zlyhania systému iniciované na diaľku, sa teraz objavila v novej podobe. Zistilo sa, že mobilné aplikácie LinkedIn verzie 9.11 a staršie pre iOS obsahujú chybu zabezpečenia vyčerpania prostriedkov CPU, ktorú je možné spustiť vstupom poskytnutým používateľom.
Zraniteľnosť vyplýva zo skutočnosti, že filter vstupov od používateľov, ktorý dodáva mobilná aplikácia, nedokáže zistiť škodlivý alebo problémový vstup. Keď používateľ pošle takúto správu inému používateľovi v aplikácii LinkedIn, po prezeraní správy sa načíta skript a zobrazený kód vyzve generálnu opravu procesora, ktorá spôsobí zlyhanie vyčerpania.
Zistilo sa, že táto chyba má dopad na operačný systém iPhone verzie 11.4.1, ktorý je primárne zameraný na mobilné zariadenia iPhone 7. Keď sa škodlivý kód načíta na tomto systéme, spôsobí čas procesora 48 sekúnd po dobu 62 sekúnd, čo vedie k 93% priemeru procesora. Tento priemer procesora je vysoko nad 80% prerušením používania procesora po dobu 60 sekúnd, čo spôsobí vyčerpanie systému a následnú poruchu.
Ako je vidieť na WhatsAppe, po odstránení kódu z posledného riadku správy prestane zlyhávať procesor. Zdá sa, že tomu tak je aj v mobilnej aplikácii LinkedIn. Ak chcete zabrániť zlyhaniu systému pri každom pokuse o opätovné spustenie aplikácie, musíte požiadať používateľa, ktorý vám poslal chybný kód, aby vám poslal ďalšiu obyčajnú správu, aby sa zlyhanie zastavilo. Toto nie je najjednoduchšia technika zmierňovania, keď dostávate správy od útočníkov, ktorí sa zámerne snažia túto chybu zneužiť na to, aby vám spôsobili problémy.
The nasledujúci scenár vytvorený Juanom Saccoom generuje kód spôsobujúci vyčerpanie procesora.
Táto chyba sa práve objavila a LinkedIn si ju všimol. Spoločnosť zatiaľ nevydala aktualizáciu, opravu alebo odporúčanie na zmiernenie následkov.
